本文详细介绍了Cookie、Session和Token在Web应用中的作用和原理,重点阐述了Token的优势,如无状态、可扩展性和安全性。Token通过签名验证确保安全,解决了Session在高并发场景下的性能问题,并且支持跨域和多平台。此外,文章还讨论了基于Token的身份验证流程及其在扩展性和安全性方面的优点。
1.随着交互式Web应用的兴起,出现了像需要登录的网站,这就要在用户登录时服务器要把用户区分开来,因为Http请求是无效的,所以想出的办法就是给大家发一个会话标识(session id),这个session id就是一个随机字符串,每个人都不同,每次向服务器发起Http请求时,把这个字符串一并捎过来,就能区分用户了
2.每个人只需要保存自己的session id,而服务器要保存所有人的session id,这样带来的问题就是访问服务器数量增多对服务器是一个巨大的开销.
于是有人思考为什么要让服务器保存着麻烦的session,只让客户端去保存多好
可是不保存这些session id ,怎么验证客户端发给服务器的session id 是服务器生成的,如果不验证,就不知道是不是合法的用户,那就可以恶意伪造session id,访问服务器干坏事了
所以是需要验证的,
比如,小K登录了系统,服务器给他发了一个令牌(token),里面包含了小k的user id,x下一次再次通过Http请求访问服务器时,把这个token通过Http header 带过来,这莫一看,这和session没有本质区别呀,所以需要想办法让别人伪造不了,
办法就是对数据做一个签名,使用算法,加上一个只有自己知道的密钥,因为别人不知道小K的密钥,所以不能伪造小K的token,这个token,服务器不用保存,当小K把这个token发给服务器,再用相同的算法和密钥,对数据再计算一次签名和token中的签名比较,如果相同,则服务器知道小K已经登录过了, 并且可以直接取到小F的user id , 如果不相同, 数据部分肯定被人篡改过, 我就告诉发送者: 对不起,没有认证。
Token 中的数据是明文保存的(虽然我会用Base64做下编码, 但那不是加密), 还是可以被别人看到的, 所以我不能在其中保存像密码这样的敏感信息。
这样一来, 我就不保存session id 了, 我只是生成token , 然后验证token , 我用我的CPU计算时间获取了我的session 存储空间 !
解除了session id这个负担, 服务器机器集群现在可以轻松地做水平扩展, 用户访问量增大, 直接加机器就行。
Cookie
cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。
cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的
Session
服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。
Token
以下几点特性会让你在程序中使用基于Token的身份验证
1.无状态、可扩展
2.支持移动设备
3.跨程序调用
4.安全
基于Token的身份验证的过程如下:
1.用户通过用户名和密码发送请求。
2.程序验证。
3.程序返回一个签名的token 给客户端。
4.客户端储存token,并且每次用于每次发送请求。
5.服务端验证token并返回数据。
每一次请求都需要token。token应该在HTTP的头部发送从而保证了Http请求无状态。我们同样通过设置服务器属性Access-Control-Allow-Origin:* ,让服务器能接受到来自所有域的请求。
Tokens的优势
无状态、可扩展
在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。
如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成一些拥堵。
但是不要着急。使用tokens之后这些问题都迎刃而解,因为tokens自己hold住了用户的验证信息。
安全性
请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。
token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。
可扩展性()
Tokens能够创建与其它程序共享权限的程序。例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。
使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。
多平台跨域
我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。
权限的tokens。
多平台跨域
我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。
转载https://blog.csdn.net/xubenxismile/article/details/92838749
6102
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
